Defaults.Exposed › Raporty
Co nagłówki serwera zdradzają atakującym: raport o ujawnianiu stosu (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe z obserwowanych nagłówków odpowiedzi HTTP (
Server,X-Powered-By). Zobacz jak oceniamy.
Większość sieci dobrowolnie ujawnia, na czym działa: 71,4% witryn podaje swój serwer WWW w nagłówkach odpowiedzi, a 8,1% idzie dalej i ujawnia swój stos aplikacji — często z dokładną wersją. Nic z tego nie jest wymagane, a każdy taki szczegół to darmowa wskazówka dla atakującego, który decyduje, co zaatakować. Ujawnienie wersji jest najgorsze: nagłówek reklamujący oprogramowanie po zakończeniu wsparcia to zaproszenie.
Co ogłasza sieć
Nagłówek Server podaje oprogramowanie serwera WWW. Na dzień 2026-06-29 najczęstsze wartości wśród 71,4% witryn, które go wysyłają:
| Nagłówek Server | Udział witryn, które go wysyłają |
|---|---|
| cloudflare | 21,7% |
| nginx | 16,0% |
| apache | 14,9% |
| openresty | 9,2% |
| squarespace | 4,9% |
Sama nazwa serwera jest niskiego ryzyka. Prawdziwym zagrożeniem jest X-Powered-By, który wysyła 8,1% witryn — i który często zawiera dokładną wersję. Najczęstsze wartości obejmują asp.net oraz konkretne kompilacje PHP, takie jak php/7.4.33.
Dlaczego ujawnianie wersji ma znaczenie
Atakujący skanujący internet w poszukiwaniu znanej luki filtruje dokładnie według tych nagłówków. Witryna reklamująca php/7.4.33 — wersję PHP po zakończeniu wsparcia, która nie otrzymuje już poprawek bezpieczeństwa — mówi każdemu skanerowi, że może być podatna na atak, jeszcze przed pojedynczą próbą sondowania. Ujawnienie nie tworzy luki, ale eliminuje koszt rozpoznania po stronie atakującego i przesuwa niezałataną witrynę na szczyt listy.
Naprawa jest darmowa i nie ma żadnych wad dla odwiedzających: wytłum te nagłówki lub uogólnij je. Nie ma żadnego funkcjonalnego powodu, by publicznie rozgłaszać wersję swojego stosu.
Jak przestać ujawniać swój stos
- Usuń
X-Powered-Bycałkowicie — nie służy do niczego odwiedzającym. (Jedna dyrektywa w PHP/Twoim frameworku lub usunięcie nagłówka na proxy.) - Uogólnij
Server— usuń wersję lub cały nagłówek na serwerze WWW lub w CDN. - Mimo to utrzymuj stos załatany — ukrycie wersji kupuje czas, nie zastępuje aktualizacji.
- Sprawdź ponownie, aby potwierdzić, że nagłówki zniknęły.
Najczęściej zadawane pytania
Czym jest nagłówek X-Powered-By? Nagłówek odpowiedzi reklamujący framework aplikacji, a często jego dokładną wersję (np. konkretną kompilację PHP). Jest opcjonalny i nie przynosi żadnej korzyści odwiedzającym — tylko atakującym. 8,1% witryn go wysyła.
Czy ujawnienie oprogramowania mojego serwera to luka? Samo w sobie nie, ale to ujawnienie informacji: pozwala atakującym filtrować znane luki w Twoim konkretnym stosie i wersji, redukując ich rozpoznanie do zera. Najlepszą praktyką jest jego wytłumienie.
Czy powinienem ukryć nagłówek Server?
Uogólnienie go (usunięcie wersji) to dobra praktyka. Większą korzyścią jest usunięcie X-Powered-By i utrzymywanie oprogramowania załatanego.
Czy to szkodzi SEO lub odwiedzającym? Nie. Te nagłówki są niewidoczne dla użytkowników i nieistotne dla wyszukiwarek. Ich usunięcie to same korzyści.
Sprawdź, co ujawniają Twoje nagłówki
Zobacz dokładnie, co ogłasza Twoja witryna — i co usunąć — za darmo i prywatnie.
Sprawdź swoją domenę → · Świadectwo nagłówków bezpieczeństwa HTTP → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.